TrustedVolumes perd 6,7 millions de dollars lors d’une importante cyberattaque

TrustedVolumes, un fournisseur de liquidités dans le secteur DeFi, a été victime d’un piratage crypto au cours duquel environ 6,7 millions de dollars d’actifs numériques ont été dérobés. DeFi, ou finance décentralisée, désigne des services financiers tels que prêts et échanges opérés sur des blockchains sans intermédiaires bancaires. Un fournisseur de liquidités met des cryptomonnaies à disposition des traders en échange d’une rémunération.

Selon des entreprises de sécurité, les pirates ont exploité des failles dans l’infrastructure de la plateforme. L’attaque a eu lieu sur la blockchain Ethereum et a été détectée par Blockaid, un spécialiste en sécurité blockchain.

Le piratage a touché un contrat DeFi essentiel

D’après Blockaid, l’attaque ciblait un « resolver » de TrustedVolumes, un composant chargé de traiter les transactions et la liquidité pour divers plateformes DeFi.

Les premières analyses indiquent que le pirate a dérobé 1 291 Wrapped Ethereum (WETH), 206 282 USDT, 16,93 Wrapped Bitcoin (WBTC) et 1,26 million USDC. Wrapped Ethereum et Wrapped Bitcoin sont des versions adaptées de l’Ethereum (ETH) et du Bitcoin (BTC) pour fonctionner sur d’autres blockchains. L’USDT et l’USDC sont des stablecoins, des monnaies numériques dont la valeur est indexée sur le dollar américain.

TrustedVolumes a confirmé le piratage peu après et a publié plusieurs adresses de portefeuilles vers lesquelles les cryptomonnaies volées ont été transférées.

Une faille dans le logiciel de swap à l’origine de l’attaque

L’origine de l’attaque réside, selon l’entreprise de sécurité Cyvers, dans plusieurs erreurs au sein d’un RFQ-swapproxy personnalisé de TrustedVolumes. Un RFQ-swapproxy, ou proxy d’échange sur demande, est un logiciel permettant aux traders d’échanger rapidement des cryptomonnaies à un prix convenu.

Des failles de sécurité ont permis à l’attaquant de se faire passer pour un utilisateur de confiance du système. Cela a conduit à l’approbation de transactions sans autorisation légitime de la part du propriétaire des fonds.

Selon Hakan Unal de Cyvers, une protection contre les répétitions de transactions faisait notamment défaut, ce qui a permis une vérification insuffisante des transactions. La protection contre les répétitions empêche un attaquant de réutiliser une transaction approuvée.

« Les dommages auraient pu être bien plus graves », a expliqué Unal. « L’attaquant aurait pu vider à nouveau plusieurs comptes. »

La crypto volée transférée via ChangeNow

Après l’attaque, les actifs volés ont été déplacés via ChangeNow, une plateforme crypto ne nécessitant pas de vérification d’identité poussée. Ils ont ensuite été majoritairement convertis en Ethereum.

TrustedVolumes a exprimé sa volonté de dialoguer avec le pirate sur une possible récompense pour signalement de bug ou un arrangement pour récupérer une partie des fonds. Une récompense pour signalement de bug est une compensation offerte par les entreprises aux hackers qui découvrent des vulnérabilités et les signalent au lieu de les exploiter.

Lien avec un précédent piratage de 1inch

TrustedVolumes soupçonne que le même hacker soit à l’origine d’une attaque antérieure sur 1inch Fusion V1 en mars 2025. Là aussi, une faille dans un logiciel géré par TrustedVolumes avait été exploitée.

L’agrégateur DeFi 1inch a réagi rapidement aux informations en soulignant que son propre protocole n’avait pas été affecté. « Nous confirmons qu’aucun système 1inch ni aucun fonds d’utilisateur n’ont été impliqués dans cet incident », a déclaré l’entreprise sur les réseaux sociaux. 1inch a précisé que la plateforme continuait de fonctionner normalement grâce à la présence de plusieurs fournisseurs de liquidités actifs sur le réseau.